安全开发 - 第 170 | CN-SEC 中文网

代码审计

PHP代码审计-Kitecms1

环境搭建使用phpstudy进行搭建环境，然后进入install目录。然后输入数据库名和密码。成功搭建好环境，然后进入后台页面。代码审计： 1.文件上传漏洞首先进入配置-上传，然后发现这里有...

11月08日71 views已关闭评论

阅读全文

代码审计

代码审计｜NginxWebUI多处漏洞

0x01 前言目标信息，源码名称:nginxWebUI，下载地址:https://www.nginxwebui.cn/因为下载下来的是jar包，所以我们通过反编译来拿到源码。官方说明:https://...

11月08日110 views评论

阅读全文

代码审计

简单复习下JEP290

一、JEP290简介1.JEP290 JDK版本JEP290机制在2016年被提出，本身为Java9的特性，官方决定向下引进该增强机制，分别对6、7、8进行支持：8u121，7u131，6u141。2...

11月08日34 views评论

阅读全文

记一次跌宕起伏的白盒审计到RCE

记一次跌宕起伏的白盒审计到RCE零鉴科技引言在一次项目中，前期拿到了站点的源码，队里师傅白盒审出了一条曲折的利用链，现在对这条链的挖掘过程重新做一次复现并记录。这条链涉及经典漏洞包括：session ...

11月08日代码审计45 views评论

阅读全文

代码审计

使用python实现代理池

在渗透测试中，爆破、爬虫、注入等等往往是必不可少的环节之一而网站为了防止此类问题带来的危害很多选择封禁ip。所以就想自己动手实现一个可自动切换ip的代理1.打造之前，确定需要什么？（1）一个可用的ip...

11月08日48 views评论

阅读全文

代码审计

谈谈代码审计中的常见问题（1）

随着新时代网络空间安全要求的提高，企业对于安全意识有了大幅提升，然而黑产人员的恶意攻击手段也日新月异，层出不穷。传统开发中的单纯依靠开发人员经验进行的安全防护已经无法应对当前迅速发展的恶意攻击手段。于...

11月08日60 views评论

阅读全文

代码审计

使用codeshell进行代码安全评估

背景北京大学软件工程国家工程研究中心知识计算实验室联合四川天府银行AI实验室，正式开源70亿参数的代码大模型CodeShell，成为同等规模最强代码基座。与此同时，团队将软件开发代码助手的完整解决方案...

11月07日156 views评论

阅读全文

安全开发

驱动-基础编程

基本数据类型WDKSDKULONGunsigned longPULONGunsigned long*UCHARunsigned charPUCHARunsigned char*UINTunsigned...

11月07日12 views评论

阅读全文

安全开发

JavaScript 原型和继承

JavaScript使用原型继承模型，这与许多其他语言使用的基于类的模型有很大区别。在本节中，我们将提供一个基本概述，以便您能够理解我们关于原型污染漏洞的学习材料。在JavaScript中，什么是对象...

11月06日15 views评论

阅读全文

安全开发

二进制明文字符串加密: 实现原理

背景这里就不多做解释了，明文字符串暴露就是最好的逆向分析指引。无论是恶意攻击样本还是有一定安全需求的组件，直接暴露程序中的明文字符串会大幅降低外部的分析成本。所以需要在编译出的二进制中隐藏字符串。不过...

11月05日29 views评论

阅读全文

安全软件生命周期之评估安全软件生命周期：SAMM

组织可能希望或被要求评估其安全开发生命周期的成熟度。本节介绍三种评估方法。4.1 SAMM软件保障成熟度模型（SAMM）是一个开放框架，可帮助组织制定和实施针对组织面临的特定风险量身定制的软件安全策略...

11月04日安全开发53 views评论

阅读全文

安全开发

Python学习计划DAY02：标识符，保留字，注释，关键词，内置函数，运算符，运算符优先级

标识符标识符就是对变量、常量、函数、类等对象起的名字。首先必须说明的是，Python语言在任何场景都严格区分大小写！第一个字符必须是字符表中的字符或者下划线保留字（关键字）用作语法功能的专...

11月04日10 views评论

阅读全文

PHP代码审计-Kitecms1

代码审计｜NginxWebUI多处漏洞

简单复习下JEP290

记一次跌宕起伏的白盒审计到RCE

使用python实现代理池

谈谈代码审计中的常见问题（1）

使用codeshell进行代码安全评估

驱动-基础编程

JavaScript 原型和继承

二进制明文字符串加密: 实现原理

安全软件生命周期之评估安全软件生命周期：SAMM

Python学习计划DAY02：标识符，保留字，注释，关键词，内置函数，运算符，运算符优先级

在线咨询

微信